管理 Azure Active Directory B2C 中的管理员帐户

在 Azure Active Directory B2C (Azure AD B2C) 中,租户表示使用者、工作和来宾帐户的目录。 使用管理员角色,工作帐户和来宾帐户可以管理租户。

在本文中,学习如何:

  • 添加管理员(工作帐户)
  • 邀请管理员(来宾帐户)
  • 向用户帐户添加角色分配
  • 从用户帐户移除角色分配
  • 删除管理员帐户
  • 保护管理帐户

先决条件

添加管理员(工作帐户)

若要创建新的管理帐户,请执行以下步骤:

  1. 至少使用特权角色管理员权限登录到 Azure 门户

  2. 如果有权访问多个租户,请选择顶部菜单中的“设置”图标,从“目录 + 订阅”菜单切换到你的 Azure AD B2C 租户。

  3. 在“Azure 服务”下,选择“Azure AD B2C”。 或者,使用搜索框查找并选择“Azure AD B2C”。

  4. 在“管理”下,选择“用户” 。

  5. 选择“新建用户”。

  6. 选择“创建用户”(可以通过选择“我想要批量创建用户”一次创建多个用户)。

  7. 在“用户”页上输入此用户的信息:

    • 用户名。 “必需”。 新用户的用户名。 例如,mary@contoso.com。 用户名的域部分必须使用初始默认域名 <tenant name>.partner.onmschina.cn。
    • Name。 “必需”。 新用户的名字和姓氏。 例如,Mary Parker
    • 。 可选。 可将用户添加到一个或多个现有组。 也可以在以后将用户添加到组中。
    • 目录角色:如果需要用户的 Microsoft Entra 管理权限,可以将它们添加到 Microsoft Entra 角色。 可以将用户分配为全局管理员或 Microsoft Entra ID 中一个或多个受限的管理员角色。 有关分配角色的详细信息,请参阅使用角色控制资源访问
    • 工作信息:可在此处添加有关用户的详细信息,或者以后再添加。
  8. 复制“密码”框中提供的自动生成的密码。 需将此密码提供给用户,供其在首次登录时使用。

  9. 选择“创建” 。

现已创建用户并将其添加到 Azure AD B2C 租户。 最好是在 Azure AD B2C 租户中至少有一个原生的工作帐户被分配为全局管理员角色。 可以将此帐户视为一个紧急访问帐户。

邀请管理员(来宾帐户)

你还可以邀请新的来宾用户管理你的租户。 如果你的组织同时还有 Microsoft Entra ID,则来宾帐户是首选选项,因为可以从外部管理此标识的生命周期。

若要邀请用户,请执行以下步骤:

  1. 至少使用特权角色管理员权限登录到 Azure 门户

  2. 如果有权访问多个租户,请选择顶部菜单中的“设置”图标,从“目录 + 订阅”菜单切换到你的 Azure AD B2C 租户。

  3. 在“Azure 服务”下,选择“Azure AD B2C”。 或者,使用搜索框查找并选择“Azure AD B2C”。

  4. 在“管理”下,选择“用户” 。

  5. 选择“新来宾帐户”。

  6. 在“用户”页上输入此用户的信息:

    • Name。 “必需”。 新用户的名字和姓氏。 例如,Mary Parker
    • 电子邮件地址。 “必需”。 要邀请的用户的电子邮件地址,必须是 Microsoft 帐户。 例如,mary@contoso.com
    • 个人消息:添加将包含在邀请电子邮件中的个人消息。
    • 。 可选。 可将用户添加到一个或多个现有组。 也可以在以后将用户添加到组中。
    • 目录角色:如果需要用户的 Microsoft Entra 管理权限,可以将它们添加到 Microsoft Entra 角色。 可以将用户分配为全局管理员或 Microsoft Entra ID 中一个或多个受限的管理员角色。 有关分配角色的详细信息,请参阅使用角色控制资源访问
    • 工作信息:可在此处添加有关用户的详细信息,或者以后再添加。
  7. 选择“创建”。

将向用户发送邀请电子邮件。 用户需要接受邀请才能登录。

重新发送邀请电子邮件

如果来宾未收到邀请电子邮件,或邀请已过期,你可以重新发送邀请。 作为邀请电子邮件的替代方法,你可以为来宾提供直接链接以接受邀请。 若要重新发送邀请并获取直接链接,请执行以下操作:

  1. 登录 Azure 门户

  2. 如果有权访问多个租户,请选择顶部菜单中的“设置”图标,从“目录 + 订阅”菜单切换到你的 Azure AD B2C 租户。

  3. 在“Azure 服务”下,选择“Azure AD B2C”。 或者,使用搜索框查找并选择“Azure AD B2C”。

  4. 在“管理”下,选择“用户” 。

  5. 搜索并选择要向其重新发送邀请的用户。

  6. 在“用户 | 个人资料”页上的“标识”下,选择“(管理)”。 屏幕截图显示如何重新发送来宾帐户邀请电子邮件。

  7. 对于“重新发送邀请?”,请选择“是”。 当系统显示“是否确定要重新发送邀请?”时,选择“是”。

  8. Azure AD B2C 将发送邀请。 你还可以复制邀请 URL,并将其直接提供给来宾。

    屏幕截图显示如何获取邀请 URL。

添加角色分配

你可以在创建用户邀请来宾用户时分配角色。 可以为用户添加角色、更改角色或删除角色:

  1. 至少使用特权角色管理员权限登录到 Azure 门户
  2. 如果有权访问多个租户,请选择顶部菜单中的“设置”图标,从“目录 + 订阅”菜单切换到你的 Azure AD B2C 租户。
  3. 在“Azure 服务”下,选择“Azure AD B2C”。 或者,使用搜索框查找并选择“Azure AD B2C”。
  4. 在“管理”下,选择“用户” 。
  5. 选择要更改其角色的用户。 然后选择“已分配的角色”。
  6. 选择“添加分配”,再选择要分配的角色(例如“应用程序管理员”),然后选择“添加”。

删除角色分配

如果你需要删除用户角色分配,请执行以下步骤:

  1. 选择“Azure AD B2C”,再选择“用户”,然后搜索并选择用户。
  2. 选择“分配的角色”。 选择要删除的角色,例如“应用程序管理员”,然后选择“删除分配”。

审阅管理员帐户角色分配

在审核过程中,通常会检查为哪些用户分配了 Azure AD B2C 目录中的特定角色。 使用以下步骤审核当前为哪些用户分配了特权角色。

  1. 特权角色管理员身份登录到 Azure 门户
  2. 如果有权访问多个租户,请选择顶部菜单中的“设置”图标,从“目录 + 订阅”菜单切换到你的 Azure AD B2C 租户。
  3. 在“Azure 服务”下,选择“Azure AD B2C”。 或者,使用搜索框查找并选择“Azure AD B2C”。
  4. 在“管理”下,选择“角色和管理员”。
  5. 选择一个角色,如“全局管理员”。 “角色 | 分配”页将列出具有该角色的用户。

删除管理员帐户

若要删除现有用户,必须具有“全局管理员”角色分配。 全局管理员可以删除任何用户,包括其他管理员。 用户管理员可以删除任何非管理员用户。

  1. 在 Azure AD B2C 目录中选择“用户”,然后选择要删除的用户。
  2. 选择“删除”,然后选择“是”,确认进行删除。

用户将被删除并且不再显示在“用户 - 所有用户”页上。 可在接下来的 30 天内于“已删除用户”页查看该用户,在此期间可将其还原 。 有关还原用户的详细信息,请参阅使用 Microsoft Entra ID 还原或永久删除最近删除的用户

保护管理帐户

建议使用多重身份验证 (MFA) 保护所有管理员帐户,以提高安全性。 MFA 是登录过程中的一个身份验证过程,它提示用户提供更多形式的标识,例如他们移动设备上的验证码或 Microsoft Authenticator 应用中的请求。

登录屏幕截图上使用的身份验证方法

如果不使用条件访问,可以启用 Microsoft Entra 安全默认值,以强制所有管理帐户均使用 MFA。